-|
- MOA-ID
-
-
-
- Konfiguration
-
-
-
-
- |
-
-
- Konfiguration von MOA ID v.1.3
-
- Konfiguration von MOA ID v.1.3
- Die Konfiguration von MOA ID wird mittels einer XML-basierten
- Konfigurationsdatei, die dem Schema MOA-ID-Configuration-1.3.xsd
- entspricht, durchgeführt.
- Der Ort der Konfigurationsdatei wird im Abschnitt Deployment
- der Web-Applikation in Tomcat beschrieben.
- Die folgenden Abschnitte erläutern das Format der Konfigurationsdatei.
- MOA-ID-Configuration.xml
- zeigt ein Beispiel für eine umfassende Konfigurationsdatei.
- Enthält die Konfigurationsdatei relative Pfadangaben, werden
- diese relativ zum Verzeichnis, in dem sich die MOA-ID Konfigurationsdatei
- befindet, interpretiert.
-
-
- ConnectionParameter
- Das Element ConnectionParameter enthält Parameter,
- die MOA-ID für den Aufbau von Verbindungen zu anderen Komponenten
- benötigt. Dieses Element tritt mehrfach in der Konfigurationsdatei
- auf und wird daher vorab detailliert beschrieben.
-
- Das Attribut URL enthält die URL der Komponente zu
- der die Verbindung aufgebaut werden soll. Wird das Schema https
- verwendet, können die Kind-Elemente AcceptedServerCertificates
- und ClientKeyStore angegeben werden. Wird das Schema http
- verwendet müssen keine Kind-Elemente angegeben werden bzw.
- werden diese nicht ausgewertet. Andere Schemas werden nicht unterstützt.
-
-
- Wird die Verbindung über TLS aufgebaut und erfordert der TLS-Server
- eine Client-Authentisierung mittels Zertifikate, dann muss das Kind-Element
- ClientKeyStore spezifiziert werden. Im Element ClientKeyStore
- wird der Filename des PKCS#12-Keys (relativ zur MOA-ID Konfigurationsdatei)
- angegeben. Diesem Keystore wird der private Schlüssel für
- die TLS-Client-Authentisierung entnommen. Das Passwort zum Lesen
- des privaten Schlüssels wird im Attribut ClientKeyStore/@password
- konfiguriert.
- Aufgrund der Tatsache, dass starke Verschlüsselung eine Voraussetzung
- für MOA-ID darstellt, werden clientseitig nur die folgenden
- Cipher Suites unterstützt:
-
- - SSL_RSA_WITH_RC4_128_SHA
- - SSL_RSA_WITH_RC4_128_MD5
- - SSL_RSA_WITH_3DES_EDE_CBC_SHA
-
- Im Kind-Element AcceptedServerCertificates kann ein Verzeichnisname
- (relativ zur MOA-ID Konfigurationsdatei) angegeben werden, in dem
- die akzeptierten Zertifikate der TLS-Verbindung hinterlegt sind. In
- diesem Verzeichnis werden nur Serverzertifikate abgelegt. Fehlt dieser
- Parameter wird lediglich überprüft ob ein Zertifikatspfad
- zu den im Element <TrustedCACertificates> angegebenen
- Zertifikaten erstellt werden kann. Falls dies nicht möglich ist,
- kommt es zu einem Fehlerfall.
-
-
- AuthComponent
- AuthComponent enthält Parameter, die nur die MOA-ID
- Authentisierungskomponente betreffen. Das Element ist optional
- und muss nicht verwendet werden, wenn auf dem Server keine MOA-ID
- Authentisierungskomponente installiert wird.
-
- Das Element AuthComponent hat vier Kind-Element:
-
- - BKUSelection (optional)
- - SecurityLayer
- - MOA-SP
- - IdentityLinkSigners
-
-
-
- AuthComponent/BKUSelection
- Das optionale Element BKUSelection enthält Parameter
- zur Nutzung eines Auswahldienstes für eine Bürgerkartenumgebung
- (BKU). Wird das Element nicht angegeben, dann wird die lokale
- Bürgerkartenumgebung auf http://localhost:3495/http-security-layer-request
- verwendet.
-
- Das Attribut BKUSelectionAlternative gibt an welche
- Alternative zur BKU-Auswahl verwendet werden soll. MOA-ID unterstützt
- die Werte HTMLComplete (vollständige HTML-Auswahl)
- und HTMLSelect (HTML-Code für Auswahl) ["Auswahl
- von Bürgerkartenumge-bungen", Arno Hollosi].
-
- Das Kind-Element ConnectionParameter spezifiziert die
- Verbindung zum Auswahldienst (siehe ConnectionParameter),
- jedoch kann das Kind-Element ClientKeyStore nicht angegeben
- werden.
-
- AuthComponent/Templates
- Das optionale Element Templates kann genau einmal vorkommen, um
- das Aussehen der Seiten "Auswahl der Bürgerkartenumgebung" sowie
- "Anmeldung mit Bürgerkarte" anzupassen. Die hier
- spezifizierten (globalen) Templates haben Priorität gegenüber Templates,
- die in der aufrufenden URL (vgl. Aufruf von MOA-ID-AUTH)
- übergeben werden, haben jedoch Nachrang gegenüber in
- der Konfigurationsdatei für eine Online-Applikation individuell definierte (lokale)
- Templates (siehe
- OnlineApplication/AuthComponent/Templates).
- Das heißt, sind in der Konfigurationsddatei für eine Online-Applikation lokale
- Templates definiert (Element OnlineApplication/AuthComponent/Templates), so werden
- die als global spezifizierten Templates (AuthComponent/Templates) für diese
- OnlineApplikation ignoriert, jedoch für alle anderen Online-Applikationen
- verwendet. Templates in der aufrufenden URL werden demnach nur mehr dann
- herangezogen, wenn in der Konfigurationsdatei weder globale (für alle
- Online-Applikationen gültig) noch lokale (Templates je Online-Applikation)
- spezifiziert sind.
- Das Templates-Element hat die zwei Kindelemente
- BKUSelectionTemplate und Template. Jedes dieser
- beiden Elemente kann genau einmal vorkommen oder fehlen.
- Das Kindelement BKUSelectionTemplate spezifiziert ein Template
- zur Gestaltung der Seite "Auswahl der Bürgerkartenumgebung",
- während das Kindelement Template die Seite
- "Anmeldung mit Bürgerkarte" referenziert.
- Beide Elemente haben genau ein Attribut namens URL,
- das die Lage des Templates im Form einer URL beschreibt.
- Relative Pfadangaben werden dabei relativ zum Verzeichnis, in dem sich die
- MOA-ID Konfigurationsdatei befindet, interpretiert.
- Im folgenden Beispiel werden zwei Templates im Verzeichnis
- CATALINA_HOME/conf/moa-id/templates referenziert:
-
-
-<Templates>
- <BKUSelectionTemplate URL="templates/SampleBKUSelectionTemplate.html"/>
- <Template URL="templates/SampleTemplate.html"/>
-</Templates>
-
-
- Richtlinien zur Struktur der beiden Templates können der
- MOA-ID-Spezifikation bzw. dem Abschnitt
- Aufruf von MOA-ID-AUTH
- dieses Handbuches entnommen werden.
-
-
-
-
- AuthComponent/SecurityLayer
- Das Element SecurityLayer enthält Parameter
- zur Nutzung des Security-Layers.
-
- Das Kind-Element TransformsInfo spezifiziert eine
- Transformation, die für die Erstellung der Signatur des
- AUTH-Blocks als Parameter in den CreateXMLSignatureRequest
- des Security-Layers integriert werden muss. Mehrere unterschiedliche
- Implementierungen des Security-Layer können durch die
- Angabe mehrerer TransformsInfo-Elemente unterstützt
- werden.
-
- Das Attribut TransformsInfo/@filename verweist auf
- eine Datei, die das globale Element TransformsInfo
- vom Typ TransformsInfo enthält. Die Angabe erfolgt
- relativ zur MOA-ID Konfigurationsdatei. Das Encoding dieser
- Datei muss UTF-8 sein.
-
- Beispiel für
- eine TransformsInfo-Datei
-
- AuthComponent/MOA-SP
- Das Element MOA-SP enthält Parameter zur Nutzung
- von MOA-SP. MOA-SP wird für die überprüfung
- der Signatur der Personenbindung und des AUTH-Blocks verwendet.
-
-
- Wird das Kind-Element ConnectionParameter angegeben,
- dann wird MOA-SP über das Webservice angesprochen.
- Wird das Kind-Element ConnectionParameter
- nicht angegeben so wird eine MOA-ID beiligende Version von
- MOA-SP direkt über das Java-API angesprochen. In diesem
- Fall muss das System-Property auf die verwendete Konfigurationsdatei
- von MOA-SP gesetzt werden. Eine beispielhafte MOA-SP Konfigurationsdatei
- ist in $MOA_ID_INST_AUTH/conf/moa-spss/SampleMOASPSSConfiguration.xml
- enthalten.
-
-
-
-
-
-
-
-
-
-
-
-
-
- Hinweis: MOA-SP muss entsprechend konfiguriert
- werden - siehe hierzu Abschnitt Konfiguration
- von MOA-SP. Alle Details zur Konfiguration von MOA-SP
- finden sie in der Distribution von MOA-SP/SS beiligenden
- Dokumentation im Abschnitt 'Konfiguration'.
-
- Das Kind-Element VerifyIdentityLink/TrustProfileID
- spezifiziert eine TrustProfileID, die für den VerifyXMLSignatureRequest
- zur Überprüfung der Signatur der Personenbindung
- verwendet werden muss. Diese TrustProfileID muss beim
- verwendeten MOA-SP Modul konfiguriert sein.
-
- Die Kind-Elemente VerifyAuthBlock/TrustProfileID
- und VerifyAuthBlock/VerifyTransformsInfoProfileID
- spezifizieren eine TrustProfileID und eine ID für
- ein Transformationsprofil, die für den VerifyXMLSignatureRequest
- zur überprüfung der Signatur des Auth-Blocks
- verwendet werden müssen. Diese TrustProfileID muss
- beim verwendeten MOA-SP Modul konfiguriert sein.
-
-
-
-
-
-
-
-
-
-
-
-
-
-
- AuthComponent/IdentityLinkSigners
-
- Dieses Element gibt an von welchen Signatoren die Signatur
- des IdentityLink erstellt werden musste damit der IdentityLink
- akzeptiert wird. Für jeden Signator muss der X509SubjectName
- nach RFC 2253 spezifiziert werden.
-
- Beispiel
-
-
-
-
- ProxyComponent
- ProxyComponent enthält Parameter, die
- nur die MOA-ID Proxykomponente betreffen. Das Element
- ist optional und muss nicht verwendet werden, wenn auf
- dem Server keine MOA-ID Proxykomponente installiert
- wird.
-
- Das Element ProxyComponent hat nur das Kind-Element
- AuthComponent, das die Verbindung zur Authentisierungs-komponente
- beschreibt.
-
- Baut die Proxykomponente die Verbindung zur Authentisierungs-komponente
- über ein Webservice auf, dann muss das Element
- ConnectionParameter spezifiziert werden.
-
- Baut die Proxykomponente die Verbindung zur Authentisierungs-komponente
- über das API auf, dann wird das Element ConnectionParameter
- nicht spezifiziert.
-
- OnlineApplication
- Für jede Online-Applikation, die über MOA-ID
- authentisiert wird, gibt es ein Element OnlineApplication.
- Die Parameter betreffen teils die MOA-ID Authentisierungskomponente,
- teils die MOA-ID Proxykomponente, teils beide.
-
- Das ab Version 1.3 optionale Attribut OnlineApplication/@type
- spezifiziert den Typ der OnlineApplikation und kann
- die Werte publicService für eine Applikation
- aus dem öffentlichen Bereich und businessService
- für eine Anwendung aus dem privatwirtschaftlichen Bereich annehmen.
- Ist dieses Attribut nicht gesetzt, so wird der Typ publicService
- vorausgesetzt.
-
- Das Attribut OnlineApplication/@publicURLPrefix
- entspricht dem URL-Präfix der nach außen
- sichtbaren Domäne der Online-Applikation, welcher
- von der MOA-ID Proxykomponente durch den URL-Präfix
- der wirklichen Domäne (Attribut OnlineApplication/ProxyComponent/ConnectionParameter/@URL)
- ersetzt wird. Es dient als Schlüssel zum Auffinden
- der Konfigurationsparameter zur Online-Applikation.
-
- Das Attribut OnlineApplication/@keyBoxIdentifier
- gibt das Schlüsselpaar an, welches von der Bürgerkartenumgebung
- zum Signieren des Auth Blocks verwendet wird. Mögliche
- Werte: CertifiedKeypair sowie SecureSignatureKeypair.
-
- Das Element OnlineApplication hat optional
- zwei Kind-Elemente: AuthComponent und ProxyComponent.
-
-
- OnlineApplication/AuthComponent
-
- Das Element OnlineApplication/AuthComponent
- muss verwendet werden wenn auf dem Server die Authentisierungskomponente
- installiert wird. Es enthält Parameter, die
- das Verhalten der Authentisierungskomponente bezüglich
- der Online-Applikation konfiguriert.
-
- Das optionale Attribut slVersion definiert die Version des
- verwendeten SecurityLayer und damit den Namespace aller
- Requests, die von MOA-ID an die Bürgerkartenumgebung
- geschickt werden. Dieses Attribut kann entweder den Wert 1.1
- oder 1.2 annehmen. Fehlt das Attribut, so wird als
- Defaultwert 1.1 gesetzt.
-
Wurde als Typ der Online-Applikation
- der Wert businessService (vgl. Attribut OnlineApplication/@type)
- spezifiziert, so wird das Attribut slVersion ignoriert
- und immer der Wert 1.2 verwendet, da die für
- Applikationen aus dem privatwirtschaftlichen Bereich notwendige
- Berechnung des wirtschaftsbereichsspezifischen Personenkennzeichens
- (wbPK) erst ab SecurityLayer Version 1.2 möglich ist.
-
- Das Attribut provideStammzahl bestimmt,
- ob die Stammzahl in den Anmeldedaten aufscheint
- oder ob der Wert ausgeblendet (d.h. auf den Leerstring gesetzt)
- wird. Die Attribute provideAUTHBlock und
- provideIdentityLink steuern, ob die Anmeldedaten
- den Auth-Block bzw. die Personenbindung enthalten.
- Ab Version 1.3 kann das Attribut provideCertificate
- verwendet werden, um das Signatorzertifikat in die
- Anmeldedaten aufzunehmen.
- Alle Attribute sind optional und haben den Default-Wert
- false.
-
-
-
- OnlineApplication/AuthComponent/IdentificationNumber
-
- Das wirtschaftsbereichsspezifische Personenkennzeichen (wbPK)
- wird aus der auf der Bürgerkarte gespeicherten Stammzahl des Bürgers
- und der Stammzahl des Wirtschaftsunternehmens berechnet.
- Laut E-Governmentgesetz
- darf die Errechnung eines wbPK aus der Stammzahl nicht beim Auftraggeber eines
- privaten Bereichs durchgeführt werden (vgl. E-GovGesetz §12(1).4), und muss deshalb
- an die Bürgerkartenumgebung ausgelagert werden.
- Das OnlineApplication/AuthComponent/IdentificationNumber Element
- wird nun verwendet, um die Stammzahl des Wirtschaftsunternehmens zu spezifizieren,
- welche in weiterer Folge von MOA-ID an die Bürgerkartenumgebung übergeben
- wird.
Dieses Element muss bei privatwirtschaftlichen Applikationen
- vorhanden sein und wird ignoriert, falls es im Kontext von Anwendungen aus
- dem öffentlichen Bereich verwendet wird.
- Das Element hat genau eines der folgenden möglichen Kindelemente
- aus dem PersonData
- Namespace, die als einzigen Inhalt die jeweilige Stammzahl des Unternehmens enthalten:
-
- -
- Das Element pr:Firmenbuchnummer enthält als einzigen Inhalt
- die Firmenbuchnummer des Unternehmens.
-
- -
- Das Element pr:Vereinsnummer enthält als einzigen Inhalt
- die Vereinsregisternummer des Unternehmens.
-
- -
- Das Element pr:ERJPZahl enthält als einzigen Inhalt eine
- Zahl aus dem Ergänzungsregister für nicht-natürliche Personen (CorporateBody).
-
- -
- Das Element pr:ZMRzahl enthält als einzigen Inhalt eine
- Stammzahl einer natürlichen in Österreich meldepflichtigen Person.
-
-
-
- Die Stammzahl ist jeweils ohne Präfix anzugeben, also wird zum Beispiel
- die Firmenbuchnummer FN468924i folgendermaßen definiert:
-
- <pr:Firmenbuchnummer>468924i</pr:Firmenbuchnummer>
-
- Leerzeichen werden ignoriert und im Falle einer Firmenbuchnummer werden
- führende Nullen gelöscht und Bindestriche aus der Nummer entfernt.
-
- Beispiele:
-
- 468924 i wird zu 468924i
- 00468924 wird zu 468924i
- 468924-i wird zu 468924i
-
- Alternativ zu den oben angeführten Elementen aus dem
- PersonData
- Namespace kann auch das Element AnyNumber verwendet werden, um
- Stammzahlen zu spezifizieren, die nicht einer der vier oben aufgelisteten
- Kategorien zugeordnet werden können.
-
- Das Element AnyNumber hat genau ein Attribut namens Identifier,
- das das Präfix der jeweiligen Stammzahl entält. Der Inhalt des
- Elements AnyNumber ist die Stammzahl selbst, wobei die selben Regeln
- wie oben gelten.
-
- Die Firmenbuchnummer aus obigem Beispiel könnte man nun beispielsweise mit Hilfe das Elements
- AnyNumber auch folgendermaßen definieren:
-
- <AnyNumber Identifier="FN">468924i</AnyNumber>
-
- Es sei aber nochmals daraufhingewiesen, dass für Stammzahlen der
- Kategorien Firmenbuchnummer, Vereinsnummer,
- ERJPZahl und ZMRzahl die vordefinierten Elemente aus
- dem PersonData
- Namespace verwendet werden sollen. Das Element AnyNumber wurde hauptsächlich in
- das Schema aufgenommen, um offen für mögliche Erweiterungen zu sein.
-
-
- OnlineApplication/AuthComponent/Templates
-
- Dieses Kindelement kann genau einmal vorkommen und entspricht in seiner Struktur dem
- Element AuthComponent/Templates.
- Es kann verwendet werden, um Templates zur Gestaltung der Seiten
- "Auswahl der Bürgerkartenumgebung" sowie
- "Anmeldung mit Bürgerkarte" individuell für
- eine Online-Applikation zu definieren. Die hier definierten Templates haben
- Priorität gegenüber globalen Templates und Templates, die
- in der aufrufenden URL übergeben werden.
-
-
-
-
- OnlineApplication/AuthComponent/TransformsInfo
-
- Dieses Kindelement kann mehrfach vorkommen und entspricht in seiner Struktur
- dem Element AuthComponent/SecurityLayer/TransformsInfo.
- Das Element kann verwendet werden, um für unterschiedliche
- Online-Applikationen unterschiedliche Transformationen zu spezifizieren.
- Alle über dieses Element definierten Transformationen haben
- Vorrang gegenüber die durch AuthComponent/SecurityLayer/TransformsInfo
- angegebenen Transformationen. Das heißt, ist für eine
- Online-Applikation das Kindelement AuthComponent/TransformsInfo
- vorhanden, so wird für diese Applikation die durch dieses Element
- spezifizierte Transformation verwendet (das Element kann natürlich
- mehrfach vorkommen, wodurch mehrere Transformationen bezeichnet werden).
- Für alle Applkikationen, die kein Kindelement vom Typ
- AuthComponent/TransformsInfo enthalten, werden die unter
- AuthComponent/SecurityLayer/TransformsInfo spezifizierten
- "Default-Transformationen" verwendet.
- Dabei ist zu beachten, dass für jede definierte Transformation
- ein entsprechendes MOA-SP/VerifyAuthBlock/VerifyTransformsInfoProfileID
- Element vorhanden sein muss.
-
-
-
-
- OnlineApplication/ProxyComponent
-
- Das Element OnlineApplication/ProxyComponent
- muss verwendet werden wenn auf dem Server die
- Proxykomponente installiert wird.
-
- Das optionale Attribut configFileURL
- verweist auf eine Konfigurationsdatei die dem
- Schema MOA-ID-Configuration-1.3.xsd
- entspricht mit Dokument-Element Configuration.
- Die Angabe erfolgt relativ zur verwendeten MOA-ID
- Konfigurationsdatei. Beispiel für das Element
- configFileURL: "oa/SampleOAConfiguration.xml".
- Defaultmäßig wird versucht die Datei
- von der betreffenden OnlineApplikation unter dem
- Wert: http://<realURLPrefix>/MOAConfig.xml
- zu laden.
- (<realURLPrefix> entspricht dem
- Wert von OnlineApplication/ProxyComponent/ConnectionParameter/@URL)
-
-
- Das optionale Attribut sessionTimeOut
- legt das Timeout einer Benutzersession in der
- Proxykomponente in Sekunden fest.
- Default-Wert: 3600
-
- Im optionalen Attribut loginParameterResolverImpl
- kann der Klassenname eines zu verwendenden LoginParameterResolver
- angegeben werden, welcher die Defaultimplementierung
- ersetzt.
-
- Im optionalen Attribut loginParameterResolverConfiguration
- kann ein Configurationsstring für die
- Initialisierung der betreffenden loginParameterResolverImpl
- angegeben werden.
-
- Im optionalen Attribut connectionBuilderImpl
- kann der Klassenname eines zu verwendenden ConnectionBuilder
- angegeben werden, welcher die Defaultimplementierung
- ersetzt.
-
- Im Kind-Element ConnectionParameter ist
- konfiguriert, wie MOA-ID-PROXY zur Online-Applikation
- verbindet.
-
- ChainingModes
- Das Element ChainingModes definiert,
- ob bei der Zertifikatspfad-überprüfung
- das Kettenmodell ("chaining") oder
- das Modell nach PKIX RFC 3280 ("pkix")
- verwendet werden soll.
-
- Das Attribut systemDefaultMode spezifiziert
- das Modell, das im Standardfall verwendet werden
- soll.
-
- Mit dem Kind-Element TrustAnchor kann
- für jeden Trust Anchor ein abweichendes
- Modell spezifiziert werden. Ein Trust Anchor
- ist ein Zertifikat, das in TrustedCACertificates
- spezifiziert ist. Ein Trust Anchor wird durch
- den Typ <dsig:X509IssuerSerialType>
- spezifiziert. Das für diesen Trust Anchor
- gültige Modell wird durch das Attribut
- mode spezifiziert.
-
- Gültige Werte für die Attribute systemDefaultMode
- und mode sind "chaining" und
- "pkix".
-
- Beispiel
-
-
- TrustedCACertificates
- Das Element TrustedCACertificates
- enthält das Verzeichnis (relativ zur
- MOA-ID Konfigurationsdatei), das jene Zertifikate
- enthält, die als vertrauenswürdig
- betrachtet werden. Im Zuge der Überprüfung
- der TLS-Serverzertifikate wird die Zertifikatspfaderstellung
- an einem dieser Zertifikate beendet.
-
- GenericConfiguration
- Das Element GenericConfiguration
- ermöglicht das Setzen von Namen-Werte
- Paaren mittels der Attribute name
- und value. Die folgende Liste spezifiziert
-
- - gültige Werte für das name-Attribut,
-
- - eine Beschreibung
- - gültige Werte für das value-Attribut
- und (falls vorhanden)
- - den Default-Wert für das value-Attribut.
-
-
-
-
- | name: DirectoryCertStoreParameters.RootDir |
-
-
- Gibt den Pfadnamen zu einem
- Verzeichnis an, das als Zertifikatsspeicher
- im Zuge der TLS-Server-Zertifikatsüberprüfung
- verwendet wird.
-
- value:
- Gültige Werte: Name eines gültigen
- Verzeichnisses (relativ zur MOA-ID Konfigurationsdatei)
- Dieser Parameter muss angegeben werden.
- |
-
-
-
-
- | name: AuthenticationSession.TimeOut |
-
-
- Gibt die Zeitspanne in
- Sekunden vom Beginn der Authentisierung
- bis zum Anlegen der Anmeldedaten an.
- Wird die Angegebene Zeitspanne überschritten
- wird der Anmeldevorgang abgebrochen.
-
-
- value:
- Gültige Werte: positive Ganzzahlen
-
- Default-Wert: 120 |
-
-
-
-
- | name: AuthenticationData.TimeOut |
-
-
- Gibt die Zeitspanne in
- Sekunden an, für die die Anmeldedaten
- in der Authentisierungskomponente zum
- Abholen durch die Proxykomponente oder
- eine nachfolgende Applikation bereitstehen.
- Nach Ablauf dieser Zeitspanne werden
- die Anmeldedaten gelöscht.
-
- value:
- Gültige Werte: positive Ganzzahlen
- Default-Wert: 600 |
-
-
-
-
- | name: TrustManager.RevocationChecking |
-
-
- Für die TLS-Server-Authentisierung
- dürfen nur Server-Zertifikate verwendet
- werden, die eine CRLDP-Extension enthalten
- (andernfalls kann von MOA-ID keine CRL-überprüfung
- durchgeführt werden).
- Soll das RevocationChecking generell
- ausgeschaltet werden, ist dieses Attribut
- anzugeben und auf "false" zu setzen.
-
-
- value:
- Gültige Werte: true, false
- Default-Wert: true |
-
-
-
-
- | name: FrontendServlets.EnableHTTPConnection |
-
-
- |
- Standardmäßig können
- die beiden Servlets "StartAuthentication"
- und "SelectBKU" welche das
- User-Frontend darstellen, aus Sicherheitsgründen,
- nur über das Schema HTTPS aufgerufen
- werden.
- Wenn die beiden Servlets jedoch auch
- Verbindungen nach dem Schema HTTP
- entgegennehmen sollen, so kann mittels
- dem Attribut "EnableHTTPServletConnection"
- erlaubt werden.
- Hinweis: Sicher und sinnvoll ist
- das Erlauben der HTTP Verbindung nur
- dann, wenn ein Vorgeschalteter Webserver
- das HTTPS handling übernimmt,
- und eine Verbindung zu den Servlets
- nur über diesen Webserver möglich
- ist.
-
- value:
- Gültige Werte: true, false
- Default-Wert: false |
-
-
-
-
- | name:
- FrontendServlets.DataURLPrefix |
-
-
- |
- Standardmäßig wird als
- DataURL Prefix das URL Präfix
- unter dem die MOA-ID Servlets erreichbar
- sind verwendet. Im Falle das sich
- der MOA-ID Server hinter einer Firewall
- befindet und die Requests von einem
- vorgelagertem Webserver weitergereicht
- werden, kann mit FrontendServlets.DataURLPrefix
- ein alternatives URL Präfix angegeben
- werden. In diesem Fall muss der Webserver
- so konfiguriert sein, dass er Request
- auf diese URLs an den MOA-ID Server
- weiterleitet.
-
- value:
- Gültige Werte: URLs nach dem Schema
- 'http://' und 'https://'
- Default-Wert: kein Default-Wert
- Beispiel: <GenericConfiguration name="FrontendServlets.DataURLPrefix"
- value="https://<your_webserver>/moa-id-auth/"/> |
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
- |
-
- übersicht
- Zurück